Folgende Abbildungen zeigen, wie sich der Ausschluss einer Systemrolle in der Vererbungsberechnung auswirkt. Auch ausgeschlossene Systemrollen können an Personen zugewiesen werden. Über die Spalte XIsInEffect wird gekennzeichnet, ob diese Zuweisung wirksam ist. Die Zuweisung einer ausgeschlossenen Systemrolle führt zu einem Eintrag mit XIsInEffect = 0, wenn gleichzeitig die andere Systemrolle aus der Ausschlussdefinition zugewiesen ist.
Systemrolle (UID_ESet) | Ausgeschlossene Systemrolle (UID_ESetExcluded) |
---|---|
System role A12 | System role A11 |
System role B | System role B1 |
System role B | System role A2 |
Systemrolle (UID_ESet) | Zuweisung Systemrolle (Entitlement) | Zuweisung wirksam (XIsInEffect) |
---|---|---|
System role A | System role A1 | 1 |
System role A | System role A2 | 1 |
System role A | System role A11 | 0 |
System role A | System role A12 | 1 |
System role A1 | System role A11 | 0 |
System role A1 | System role A12 | 1 |
System role A2 | Application | 1 |
System role A11 | Active Directory group | 1 |
System role A12 | SAP role | 1 |
System role B | Resource R1 | 1 |
System role B1 | Resource R2 | 1 |
Abbildung 5: Vererbung über direkt zugewiesene Systemrollen
Abbildung 6: Vererbung über eine IT Shop-Bestellung
Abbildung 7: Vererbung über indirekt zugewiesene Systemrollen
Bei der Vererbungsberechnung für die hierarchischen Rollen werden die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (BaseTreeHasESet.XIsIneffect = 1). Wenn die sich ausschließenden Systemrollen an unterschiedliche hierarchische Rollen zugewiesen sind, sind beide Zuweisung wirksam. Damit sind auch die daraus resultierenden Zuweisungen der Unternehmensressourcen an die hierarchischen Rollen wirksam. Ist eine Person in beiden hierarchischen Rollen Mitglied, werden dadurch auch die Unternehmensressourcen der ausgeschlossenen Systemrolle an diese Person vererbt.
Abbildung 8: Vererbung über unterschiedliche hierarchische Rollen
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy